ACCT.03 — 各ユーザーのコンソールアクセスを設定する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ACCT.03 — 各ユーザーのコンソールアクセスを設定する

ベストプラクティスとして、 は一時的な認証情報を使用して AWS アカウント および リソースへのアクセスを許可することを AWS 推奨しています。一時的な認証情報には有効期限が設けられているため、不要になった場合にローテーションしたり、明示的に取り消したりする必要がありません。詳細については、「一時的な認証情報」(IAM ドキュメント) を参照してください。

人間のユーザーの場合、、Okta、Active Directory AWS IAM Identity Center、Ping Identity など、一元化された ID プロバイダー (IdP) のフェデレーティッド ID を使用する AWS ことをお勧めします。ユーザーをフェデレーションすることで、ID を一元的に定義でき、ユーザーは 1 セットの認証情報のみ AWSを使用して、 を含む複数のアプリケーションやウェブサイトに対して安全に認証できます。詳細については、「 での ID フェデレーション AWS」および「IAM Identity Center (AWS ウェブサイト)」を参照してください。

注記

ID フェデレーションを使用すると、シングルアカウントアーキテクチャからマルチアカウントアーキテクチャへの移行が、複雑になることがあります。スタートアップでは、 AWS Organizationsで管理されるマルチアカウントアーキテクチャが完成するまで、ID フェデレーションの実装を遅らせるのが一般的です。

ID フェデレーションをセットアップするには

  1. IAM アイデンティティセンターを使用している場合は、「Getting started」(IAM アイデンティティセンタードキュメント) を参照してください。

    外部またはサードパーティの IdP を使用している場合は、「Creating IAM identity providers」(IAM ドキュメント) を参照してください。

  2. IdP が多要素認証 (MFA) を適用していることを確認します。

  3. ACCT.04 — アクセス許可を割り当てる に従ってアクセス許可を適用します。

ID フェデレーションを設定する準備が整っていないスタートアップの場合は、IAM でユーザーを直接作成することができます。これは有効期限のない長期的な認証情報であるため、セキュリティベストプラクティスとしては推奨されていません。ただし、オペレーションの初期段階にあるスタートアップには一般的な方法です。オペレーションの準備が整ってからマルチアカウントアーキテクチャへ移行するときの、複雑さを防ぐことができるためです。

基準線として、 AWS Management Consoleにアクセスする必要のある各ユーザーに、IAM ユーザーを作成できます。IAM ユーザーを設定するときは、ユーザー間で認証情報を共有するのではなく、長期認証情報を定期的にローテーションします。

警告

IAM ユーザーには長期的な認証情報があり、セキュリティ上のリスクをもたらします。このリスクを軽減するために、これらのユーザーにはタスクの実行に必要な権限のみを付与し、不要になったユーザーを削除することをお勧めします。

IAM ユーザーを作成するには

  1. IAM ユーザーを作成します (IAM ドキュメント)。

  2. ACCT.04 — アクセス許可を割り当てる に従ってアクセス許可を適用します。